By Ling Cheng (Marketing Director)
ソフトウェアの脆弱性を管理するための現在の方法が、いまだにリコールのリスクを抱えていることをご存知ですか?これは、多くの脆弱性の詳細が未公開のままであるか、長い時間を経て初めて公式に明らかにされるためです。このギャップにより、ゼロデイ脆弱性を悪用した攻撃からはシステムを防御することが不可能だと言われています。
ゼロデイ脆弱性とは?
ゼロデイ脆弱性とは、世間に広く知られる前に知り得た攻撃者のみが悪用できる、隠れた高リスクの脅威です。ゼロデイ攻撃が予期せず発生し、解決策がない場合、企業は費用のかかるリコールや深刻な風評被害に直面する可能性があります。たとえば、ある自動車メーカーは攻撃を受けて140万台のリコールを余儀なくされ、1億500万米ドルの罰金を科されるという事がありました。
ゼロデイ脆弱性への対処は非常に困難であり、脅威は以下の3つの主要なシナリオに起因します。
- 攻撃者は脆弱性を知っていますが、他の誰も知りません。
- 攻撃者はこの脆弱性を知っていますが、内部関係者やダークウェブユーザーのごく一部の者しか知りません。
- 攻撃者はこの脆弱性を知っていますが、被害を受けた企業はまったく知らないままです。
これらが示す事は、ゼロデイ脆弱性は未知の脆弱性であるため、解決策がないということです。その結果、ゼロデイ攻撃は成功率が高く、企業にとって壊滅的な結果をもたらす重大なリスクとなります。
ゼロデイ脆弱性は現実的かつ増大する脅威
2024年に開催されたVicOneとTrend Zero Day Initiative™(ZDI)の自動車脆弱性発見コンテストPwn2Ownの第1回では、リサーチャーがわずか3日間で49件のゼロデイ脆弱性を発見しました。注目すべき発見には、以下のような脆弱性が含まれています。
- 攻撃者が悪意のあるCANメッセージをインジェクションすることで、自動車の盗難や重要な車両機能の不正制御につながる可能性があります。
- 攻撃者にリモートコード実行(RCE)攻撃を実行され、車両通信システムを乗っ取られる可能性があります。
- 攻撃者が充電システムを遠隔操作できるようになり、送電網の過負荷や充電器や車両の損傷につながる可能性があります。
2025年版Pwn2Own Automotiveでは、3日間で49件のゼロデイ脆弱性がリサーチャーによって発見されました。
しかし、これらのリスクの高い脆弱性は、NIST(米国立標準技術研究所)が公開している脆弱性データベースNVD(National Vulnerability Database)には含まれていません。自動車業界の閉鎖的な性質により、多くの脆弱性の詳細がNVDに報告されないばかりか、その詳細が公開されることもなく、セキュリティギャップが一般の認識から隠されたままになっています。既知の脆弱性だけに注目することは、今日のSDV(ソフトウェア・デファインド・ビークル)エコシステムにおける進化するリスクに対処するにはもはや十分ではありません。
図 1.ソフトウェアセキュリティリスクに対処するために現在最も一般的に使用されている方法
ゼロデイ脆弱性情報の統合
VicOneのxZETAは、既知のオープンソースの脆弱性だけに対応する脆弱性管理プラットフォームとは対照的に、ゼロデイ脆弱性、未公開脆弱性、既知の脆弱性、CWE(Common Weakness Enumeration)、標的型サイバー攻撃(APT)*、ランサムウェア*に対する優れた可視性を提供します。VicOneの脅威インテリジェンスは、NVDがカバーしている範囲を189%上回り、より広範な検出範囲を提供します。
図2.VicOneのxZETAは、NVDよりも189%高い視認性で最高のカバレッジを提供します。
VicOne では、ゼロデイ脆弱性が自動車業界に与える重大な影響を十分に理解しています。AIを活用したゼロデイ特定リサーチ、ダークウェブ監視、脆弱性取得とインテリジェンス共有、自動車脆弱性発見コンテストなど、積極的かつ包括的な戦略を採用し、これらの脅威を発見して対処しているのはそのためです。このような取り組みにより、VicOneの自動車サイバーセキュリティソリューションにおけるリーダーシップと、進化し続ける脅威の中でコネクテッド・ビークルを保護するための揺るぎないコミットメントが強化されます。
*特許出願中
